X.509 v3证书数据结构如下:
Certificate证书
Version 版本
Serial Number 序列号
Algorithm ID
Issuer 颁发者
Validity 有效期
Not Before 有效起始日期
Not After 有效终止日期
Subject 使用者
Subject Public Key Info 使用者公钥信息
Public Key Algorithm 公钥算法
Subject Public Key公钥
Issuer Unique Identifier (Optional) 颁发者唯一标识
Subject Unique Identifier (Optional) 使用者唯一标识
Extensions (Optional) 扩展
...
Certificate Signature Algorithm 证书签名算法
Certificate Signature 证书签名
数字签名
H--Hash计算
E--加密计算
D--解密计算
在签发者处,首先求出传递消息Info的HASH值,然后用私钥Private Key对Hash值做加密,然后将传递消息原文Info和经过加密的HASH值一起发给接受者,接受者首先用签发者的公钥揭开密码,然后对收到的Info原文计算HASH值,然后比对是否相对,如果相同,则认证成功。
证书扩展文件名
.cer, .crt - 通常被用于二进制的DER文件格式 (同于.der), 不过也被用于Base64编码的文件 (例如 .pem).
.P7B - 同于 .p7c
.P7C - PKCS#7证书格式,仅仅包含证书和CRL列表信息,没有私钥。
.PFX - 同于 .p12
.P12 - PKCS#12文件, 包含证书(公钥)和私钥(受密码保护),已经完整的证书链信。
PKCS#7 是一种将数据加密和签名(正式名称是“enveloping”)的技术标准。 它描述数字证书的语法和其他加密消息——尤其是,数据加密和数字签名的方法,也包含了算法。但PKCS#7不包含私钥信息。
PKCS#12 定义了一个用于保存私钥和对应公钥证书的文件格式,并由对称密钥加密保护。PKCS#12通常采用PFX,P12作为文件扩展名。 PKCS#12文件可以存放多个证书,